The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в Haskell-реализации SSH

21.04.2015 23:20

Ошибка в Haskell-пакете ssh привела к возможности успешной аутентификации любого пользователя посредством его публичного (не приватного!) ключа. Haskell-реализация SSH, в частности, используется в darcsden для организации совместного доступа к репозиториям системы контроля версий Darcs. В связи с этим всем пользователям darcsden (в частности, пользователям онлайн-хранилища репозиториев Darcs Hub) настоятельно рекомендуется проверить целостность и аутентичность своих репозиториев.

Хронология:

  • 21.03: От стороннего разработчика получены сведения о проблеме с пакетом ssh: последний некорректно осуществлял проверку подписи публичного ключа во время аутентификации пользователя. Как результат, стало возможным пройти аутентификацию, зная лишь публичный SSH-ключ пользователя.
  • 21.03: Проблема обсуждается с рядом основных разработчиков Darcs, а также с автором Haskell-пакета ssh.
  • 25.03: Предварительное исправление вносится на Darcs Hub. Предполагается, что уязвимость уже была этим действием закрыта.
  • 06.04: Вносится более проработанное и протестированное исправление.
  • 15.04: Всем пользователям Darcs Hub, кто указал работоспособный адрес электронной почты, отправлены уведомления.
  • 20.04: Сведения об уязвимости публично раскрыты.


  1. Главная ссылка к новости (http://joyful.com/blog/2015-04...)
Автор новости: Вадим Жуков
Тип: Проблемы безопасности
Ключевые слова: ssh, haskell
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анончег (?), 00:30, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Haskel - это надёжно и молодёжно!

    "Покупайте наших слонов!"(C)

     
     
  • 2.6, Аноним (-), 04:30, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "Покупайте наших слонов!"(C)

    К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти сервер с этим - надо сильно постараться.

     
     
  • 3.13, Аноним (-), 09:20, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> "Покупайте наших слонов!"(C)
    > К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти
    > сервер с этим - надо сильно постараться.

    Тем не менее, для тех, кто пользуется, проблема критична. Вопрос в подходе, как считать критичность — по общему количеству затронутых пользователей или по серьёзности возможных последствий. Обычно говорят всё же о втором, и я имел в виду именно второй вариант.

     
  • 2.18, Michael Shigorin (ok), 13:17, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Haskel - это надёжно и молодёжно!

    Человеку, который не смог переписать семь букв -- хорошо бы задуматься над очередным примером того, что никакой инструмент не может за человека думать, писать, проверять...

    Вдруг всё-таки на пользу окажется.

     
     
  • 3.32, Анончег (?), 23:07, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мишаня, поздравляю! Эк ты меня конкретно, а главное по делу, уел, молодец !
     

  • 1.2, Аноним (-), 00:38, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Казалось бы, зачем писать тесты.
     
     
  • 2.15, Аноним (-), 10:22, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А они есть. Только не на все случаи, потому что всего тестов бесконечное количество, и написать их все невозможно. И на написание теста "невозможно пройти аутентификацию с публичным ключом без закрытого ключа" просто фантазии не хватило. Теперь-то он, конечно, будет, но вот будет ли там тест, например, "сервер не принимает свой собственный открытый/закрытый ключ в качестве мастер-ключа для всех пользователей"? По-хорошему надо бы и такой тест провести.
     
  • 2.26, Аноним (-), 16:25, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Про sqlite слышали? Даже там находят дефекты и уязвимости (хотя бы недавний прогон его afl). Наличие тестов не показывает отсутствия дефектов.
     
     
  • 3.27, Michael Shigorin (ok), 16:31, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Наличие тестов не показывает отсутствия дефектов.

    Собственно, наличие тестов помогает выявить присутствие дефектов. :)

     

  • 1.11, Нанобот (ok), 09:10, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот не написали бы новость с таким кричащим заголовком, я бы никогда и не узнал, что существует какой-то Darcs Hub
    это типа такая реклама?
     
     
  • 2.12, Аноним (-), 09:16, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > вот не написали бы новость с таким кричащим заголовком, я бы никогда
    > и не узнал, что существует какой-то Darcs Hub
    > это типа такая реклама?

    Нет. Я сам ни разу не хаскелист, но случай показался мне любопытным, а для кого-то, возможно, это будет важной новостью. Особенно в свете того, что мейнтейнер пакета ssh не сделал уведомление, поэтому пользователи этого пакета, если не пользуются darcsden — на Darcs Hub или ещё как — могут даже не знать о проблеме.

     
  • 2.16, Demo (??), 12:20, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > вот не написали бы новость с таким кричащим заголовком,
    > я бы никогда и не узнал, что существует какой-то Haskell

    //fixed

     

  • 1.14, Михрютка (ok), 09:44, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    демьянщики с их злощасным нерэндомным рэндомом могут вздохнуть свободно. следующие пять лет в пример будут ставить хаскелистов.

    а все почему - "we are not cryptographers - I’m sure the new ssh maintainer would welcome any help from some of those."

     
     
  • 2.17, Аноним (-), 12:24, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если верить мейнтейнеру Haskell в OpenBSD, то пакет random, используемый всё тем же пакетом ssh, грешит тем же. :)
     
  • 2.19, Аноним (-), 13:25, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом, чтобы пилот самолета был все непременно Не Пилотом, а хирург который их будет оперировать - Не Хирургом.
     
     
  • 3.22, Михрютка (ok), 13:53, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а хирург который
    > их будет оперировать - Не Хирургом.

    ну так хирург уже занят, он пишет ck патчи к ядру :)


     
     
  • 4.24, Аноним (-), 13:58, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну так хирург уже занят, он пишет ck патчи к ядру :)

    На самом деле он достаточно нормальный програмер. Кроме всего прочего он написал один из лучших майнеров *коинов в свое время, показав кучке питнистов и прочего сброда как нормальные люди пишут софт. И да, никакие законы природы не запрещают пилоту самолета разбираться в хирургии. Просто за работу стоит браться лишь при способности ее сделать качественно. Если некто совсем не разбирается в криптографии, он не сможет написать ssh без грубых ошибок.

     
  • 3.28, arisu (ok), 19:05, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не
    > Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом,
    > чтобы пилот самолета был все непременно Не Пилотом, а хирург который
    > их будет оперировать - Не Хирургом.

    ну так иди и сам запили, Крутой Криптограф.

    что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен? а кому‐то нужен. и они за неимением гербовой вынуждены писать на простой. и честно сообщают, что они не настоящие сварщики, но были вынуждены.

    к чему претензии, я не понял? к тому, что люди не ноют, ожидая Дара Богов, а пытаются решать проблемы с теми ресурсами что у них есть? странные претензии.

     
     
  • 4.30, Михрютка (ok), 21:00, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну так иди и сам запили, Крутой Криптограф.
    > что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен?
    > а кому‐то нужен. и они за неимением гербовой вынуждены писать на
    > простой. и честно сообщают, что они не настоящие сварщики, но были
    > вынуждены.

    "есть нюанс"(ТМ)

    у меня на работе есть один такой некриптограф. его если носом в его говно потыкаешь, он заламывает руки и громко говорит: "Вы такие умные, берите и делайте лучше!"

    проблема не в том, чтобы сделать лучше, чем он - это как раз нетрудно. проблема в том, что он же от этого говно делать не перестает.

     
     
  • 5.31, arisu (ok), 21:19, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну так берите и делайте. а дурака увольте.

    есть такое мнение, что те, кто терпят дурака в команде, недалеко от него ушли. если ушли вообще.

     
     
  • 6.33, Михрютка (ok), 00:21, 23/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ну так берите и делайте. а дурака увольте.
    > есть такое мнение, что те, кто терпят дурака в команде, недалеко от
    > него ушли. если ушли вообще.

    да я не то чтобы жалуюсь и спрашиваю совета, как быть, если чо. с такими, слава богу, давно научился справляться. я просто пример привожу.

    я могу, например, шугануть дурака, чтобы он в мою ответственность не совался, и он не суется.

    а вот как быть с дураком который дурак забесплатно.

     
     
  • 7.34, arisu (ok), 00:31, 23/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а вот как быть с дураком который дурак забесплатно.

    сделать лучше. или не пользоваться тем, что он делает.

     

  • 1.20, Аноним (-), 13:34, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот так вот - юзать маргинальщину.
     
     
  • 2.21, Michael Shigorin (ok), 13:42, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот так вот - юзать маргинальщину.

    Мне вот что интересно -- любящие всё подряд зачислять в таковую сами хоть что-то сделали пусть на три порядка менее, но востребованного, чем та "маргинальщина"?..

    Те, кто руками да головой работает -- обычно стараются учиться на чужих ошибках.  А кто не работает -- ошибается в сам[I]о[/I]м своём мировоззрении.

     
     
  • 3.23, Аноним (-), 13:54, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Однако при всей невкусности его утверждения, есть и вполне валидный пойнт: малопопулярный софт хуже протестирован, поэтому там могут попадаться весьма брутальные баги.
     
     
  • 4.25, Michael Shigorin (ok), 14:01, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Однако при всей невкусности его утверждения, есть и вполне валидный пойнт:

    Не-а.  Тут если и говорить, то о двух сторонах медальки, как обычно.

    > малопопулярный софт хуже протестирован,
    > поэтому там могут попадаться весьма брутальные баги.

    Использование "малопопулярного" софта на практике давно известно как один из слоёв защиты вроде той же security through obscurity: гарантии не даёт, но временные и прочие затраты на преодоление увеличивает.  Причём мне в своё время такую рекомендацию выдал один из людей, у которых *nix и учился -- весьма матёрый безопасник, среди прочего...

     

  • 1.35, КарМер (?), 18:09, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что сынку, помогла тебе серебрянная пуля ?!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру